Informativa sulla Privacy

Ultimo aggiornamento: 30 giugno 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

Thomas Bresciani — Personal Trainer
Via S. Rocco, 1, Sabbio Chiese (BS) 25070
Email: disponibile su richiesta tramite WhatsApp

2. Dati raccolti

Nell'ambito dell'utilizzo di questo sito e del servizio di prenotazione, vengono raccolti i seguenti dati personali:

• Dati di registrazione: nome, cognome, indirizzo email, numero di telefono (WhatsApp), codice fiscale, indirizzo di residenza
• Dati di autenticazione: credenziali di accesso gestite tramite il provider di autenticazione (Google o email/password)
• Dati di prenotazione: date, orari e tipologia delle sessioni prenotate, stato di pagamento
• Dati sanitari: data di scadenza del certificato medico sportivo e dell'assicurazione (nessun documento sanitario viene archiviato)
• Dati tecnici: informazioni sul dispositivo e sul browser utilizzato per accedere al servizio

3. Notifiche push

Il Servizio utilizza notifiche push per inviare comunicazioni relative al servizio. L'attivazione delle notifiche push è facoltativa e avviene esclusivamente previo consenso esplicito dell'utente, tramite il banner “Abilita notifiche” e la successiva autorizzazione nel browser o nel sistema operativo.

Le notifiche push vengono utilizzate per:

• Promemoria delle sessioni prenotate (24 ore e 1 ora prima)
• Avvisi di disponibilità di posti liberi
• Comunicazioni di servizio da parte dell'amministratore

L'utente può revocare il consenso in qualsiasi momento disattivando le notifiche nelle impostazioni del proprio browser o dispositivo. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prestato prima della revoca.

Viene registrato nel profilo utente lo stato di attivazione delle notifiche push (push_enabled) al solo fine di consentire all'amministratore di verificare la raggiungibilità dell'utente per comunicazioni di servizio.

4. Finalità del trattamento

I dati personali vengono trattati per le seguenti finalità:

• Gestione dell'account utente e autenticazione
• Gestione delle prenotazioni delle sessioni di allenamento
• Comunicazioni relative al servizio (promemoria, variazioni, cancellazioni)
• Invio di notifiche push (solo previo consenso esplicito dell'utente)
• Gestione dei pagamenti e della contabilità delle sessioni
• Adempimento di obblighi legali e fiscali

5. Base giuridica del trattamento

Il trattamento dei dati si basa su:

• Esecuzione contrattuale (art. 6.1.b GDPR): il trattamento dei dati di registrazione e prenotazione è necessario per l'erogazione del servizio richiesto dall'utente
• Consenso (art. 6.1.a GDPR): per l'invio di notifiche push e per l'accesso ai dati di geolocalizzazione. Il consenso è libero, specifico, informato e revocabile in qualsiasi momento
• Obbligo legale (art. 6.1.c GDPR): per l'adempimento di obblighi normativi e fiscali
• Interesse legittimo (art. 6.1.f GDPR): per la sicurezza del sistema e la prevenzione di abusi

6. Conservazione dei dati

I dati personali vengono conservati per il tempo necessario al perseguimento delle finalità per cui sono stati raccolti:

• Dati di prenotazione e pagamento: per la durata del rapporto professionale e per i successivi 10 anni per obblighi fiscali
• Dati di registrazione: per la durata del rapporto professionale e fino alla cancellazione dell'account
• Log delle notifiche push: conservati per un massimo di 12 mesi per finalità di verifica del servizio
• Dati di geolocalizzazione: nessuna coordinata GPS viene conservata; viene registrato unicamente il timestamp di arrivo nella prenotazione

7. Condivisione dei dati

I dati personali non vengono venduti né ceduti a terzi per finalità commerciali. La gestione tecnica e lo sviluppo del Servizio sono affidati a un responsabile del trattamento esterno che opera per conto del titolare. I dati possono inoltre essere trattati dai seguenti fornitori, in qualità di responsabili o sub-responsabili del trattamento:

• Andrea Pompili (sviluppatore e gestore tecnico): responsabile del trattamento per la gestione, manutenzione ed evoluzione dell'infrastruttura tecnica del Servizio, sulla base di apposito accordo con il titolare (art. 28 GDPR)
• Supabase Inc. (San Francisco, USA): piattaforma di database, autenticazione e funzioni server. I dati sono archiviati su server situati nell'Unione Europea (Francoforte, Germania). Il trasferimento verso gli USA è regolato dal EU-US Data Privacy Framework
• Cloudflare, Inc. (San Francisco, USA): hosting, rete di distribuzione dei contenuti (CDN) e gestione DNS del sito. Tratta l'indirizzo IP e i metadati tecnici delle richieste per erogare e proteggere il sito. Il trasferimento verso gli USA è regolato dal EU-US Data Privacy Framework
• Stripe Payments Europe, Ltd. (Irlanda) e Stripe, Inc. (USA): gestione dei pagamenti online per la ricarica del credito. I dati delle carte sono trattati direttamente da Stripe; il Servizio non memorizza dati di pagamento
• Google LLC: per l'autenticazione tramite account Google (login) e per la visualizzazione della mappa della sede tramite Google Maps (pagina “Dove sono”)
• Brevo (Sendinblue): per l'invio di email transazionali (conferma registrazione, reset password)
• Anthropic, PBC (USA): generazione dei report mensili di allenamento tramite intelligenza artificiale, esclusivamente per gli utenti che hanno prestato il consenso esplicito (opt-in). Il trasferimento verso gli USA è regolato da clausole contrattuali standard (SCC)
• LYFTA: fornitura delle immagini e dei video dimostrativi degli esercizi nell'area allenamento

8. Diritti dell'utente

In conformità al Regolamento (UE) 2016/679 (GDPR), l'utente ha diritto di:

• Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
• Rettifica (art. 16): ottenere la correzione dei dati inesatti o l'integrazione dei dati incompleti
• Cancellazione (art. 17): ottenere la cancellazione dei propri dati (“diritto all'oblio”), salvo obblighi di legge
• Limitazione (art. 18): ottenere la limitazione del trattamento nei casi previsti dalla normativa
• Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
• Opposizione (art. 21): opporsi al trattamento dei propri dati per motivi legittimi
• Revoca del consenso (art. 7.3): revocare il consenso prestato in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente

Per esercitare questi diritti, contattare il titolare del trattamento tramite i recapiti indicati nella sezione 1.

L'utente ha inoltre il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

9. Cookie e tecnologie simili

Questo sito utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio. Non vengono utilizzati cookie di profilazione, di tracciamento o di marketing.

La sessione di autenticazione e le preferenze dell'utente sono gestite tramite il localStorage del browser (non tramite cookie), utilizzato anche per la cache dei dati e il funzionamento offline dell'applicazione (PWA).

Il fornitore di rete e sicurezza (Cloudflare) può impostare cookie tecnici strettamente necessari (ad es. __cf_bm) per proteggere il sito da traffico automatizzato e abusi: tali cookie non richiedono consenso e non tracciano l'utente per finalità di marketing.

La mappa della sede (pagina “Dove sono”) viene caricata da Google Maps soltanto dopo un'azione esplicita dell'utente (pulsante “Carica mappa”): fino a quel momento nessun dato viene trasmesso a Google.

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione, tra cui:

• Crittografia delle comunicazioni tramite protocollo HTTPS/TLS
• Autenticazione sicura con token JWT e refresh automatico
• Politiche di accesso ai dati basate su Row Level Security (RLS) a livello di database
• Backup periodici con retention policy e conservazione su infrastruttura privata

11. Modifiche alla presente informativa

Ci riserviamo il diritto di aggiornare questa informativa in qualsiasi momento. In caso di modifiche sostanziali che incidano sui diritti dell'utente, gli interessati saranno informati tramite avviso sul sito o notifica push (ove il consenso sia stato prestato). L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce presa visione dell'informativa aggiornata.